Поделиться через


Вопросы и ответы о Виртуальной глобальной сети

Является ли виртуальная Глобальная сеть Azure общедоступной?

Да, Виртуальная глобальная сеть Azure является общедоступной. При этом для Виртуальной глобальной сети предусмотрено несколько функций и сценариев. Существуют функции или сценарии в Виртуальная глобальная сеть, где корпорация Майкрософт применяет тег предварительной версии. Это значит, что такая функция или сценарий предоставляются в предварительной версии. Если вы не используете определенную предварительную версию функции, предоставляется поддержка общедоступной версии. См. статью Дополнительные условия использования Предварительных версий Microsoft Azure.

Какие расположения и регионы доступны?

Сведения о доступных регионах для Виртуальная глобальная сеть см. в разделе "Продукты" по регионам. Укажите Виртуальная глобальная сеть в качестве имени продукта.

Обязан ли пользователь применять звездообразную архитектуру для устройств SD-WAN/VPN, чтобы использовать Виртуальную глобальную сеть Azure?

Виртуальная глобальная сеть предоставляет множество функций, собранных на унифицированной панели управления, в том числе VPN-подключение "сеть — сеть", подключение пользователей через VPN "точка — сеть" (P2S), подключение через ExpressRoute, подключение к виртуальной сети, взаимодействие через VPN ExpressRoute, транзитивное подключение между виртуальными сетями, централизованная маршрутизация, средства защиты Брандмауэра Azure и Диспетчера брандмауэра, мониторинг, шифрование ExpressRoute и многие другие возможности. Чтобы начать работу с Виртуальной глобальной сетью, не обязательно иметь все эти возможности для применения. Для начала достаточно одного любого варианта использования.

Виртуальная глобальная сеть использует звездообразную архитектуру и встроенные возможности масштабирования и контроля за производительностью. Согласно этой архитектуре ветви (устройства SD-WAN/VPN), пользователи (клиенты Azure VPN, OpenVPN или IKEv2), каналы ExpressRoute и виртуальные сети являются периферийными относительно виртуальных концентраторов. Все эти концентраторы соединяются в Виртуальную глобальную сеть уровня "Стандартный" по схеме "каждый с каждым", что позволяет легко использовать магистральную платформу Майкрософт для организации взаимодействия периферийных устройств в любых сочетаниях. Для концентраторов и периферийных устройств SD-WAN и (или) VPN пользователи могут вручную настроить подключение к Azure на портале Виртуальной глобальной сети Azure или применить виртуальное оборудование партнера Виртуальной глобальной сети (SD-WAN/VPN).

Партнерские решения для Виртуальной глобальной сети позволяют автоматизировать подключения, чтобы экспортировать в Azure сведения об устройстве, скачивать конфигурации Azure и подключаться к концентратору Виртуальной глобальной сети Azure. Для VPN-подключений "точка — сеть" (подключения пользователей) мы поддерживаем клиенты Azure VPN, OpenVPN и IKEv2.

Можете ли вы отключить полносвязные концентраторы в Виртуальной глобальной сети?

Виртуальная глобальная сеть поставляется в двух вкусах: "Базовый" и "Стандартный". В Виртуальной глобальной сети уровня "Базовый" концентраторы не объединяются. В Виртуальной глобальной сети уровня "Стандартный" концентраторы объединяются и автоматически подключаются при первой настройке Глобальной сети. Пользователю ничего конкретного делать не нужно. Пользователю также не нужно отключать или включать функции для получения объединенных концентраторов. Виртуальная глобальная сеть предоставляет множество вариантов маршрутизации для передачи трафика между любой периферийной сетью (виртуальной сетью, VPN или ExpressRoute). Это обеспечивает простоту полносвязных концентраторов, а также гибкость маршрутизации трафика в соответствии с вашими потребностями.

Как обрабатываются Зоны доступности и устойчивости в Виртуальной глобальной сети?

Виртуальная глобальная сеть представляет собой набор концентраторов и служб, доступных внутри концентратора. У пользователя может быть необходимое ему количество Виртуальных глобальных сетей. В центре Виртуальной глобальной сети доступно несколько служб, таких как VPN, ExpressRoute и т. д. Каждая из этих служб автоматически развертывается в Зоны доступности (за исключением Брандмауэра Azure), если регион поддерживает Зоны доступности. Если регион становится Зоной доступности после первоначального развертывания в концентраторе, пользователь может воссоздать шлюзы, что приведет к развертыванию Зоны доступности. Все шлюзы подготавливаются в концентраторе как активные и активные, что означает, что в концентраторе есть устойчивость. Если пользователям нужна устойчивость в разных регионах, они могут подключаться к нескольким концентраторам.

В настоящее время Брандмауэр Azure можно развернуть для поддержки Зон доступности с помощью портала диспетчера Брандмауэра Azure, PowerShell или CLI. В настоящее время невозможно настроить существующий брандмауэр для развертывания в зонах доступности. Вам потребуется удалить и повторно развернуть Брандмауэр Azure.

Хотя концепция Виртуальной глобальной сети является глобальной, фактический ресурс этой сети основан на Resource Manager и развернут в регионе. Если проблемы возникнут в самом регионе Виртуальной глобальной сети, все концентраторы в этой сети будут продолжать функционировать без изменений, но пользователь не сможет создавать концентраторы до тех пор, пока регион Виртуальной глобальной сети не станет доступен.

Можно ли совместно использовать брандмауэр в защищенном концентраторе с другими центрами?

Нет, каждый виртуальный концентратор Azure должен иметь собственный брандмауэр. Развертывание пользовательских маршрутов для указания брандмауэра другого защищенного концентратора завершится ошибкой и не завершится успешно. Рекомендуется преобразовать эти центры в защищенные центры с помощью собственных брандмауэров.

Какие клиенты поддерживаются для VPN-подключения "точка — сеть" (подключения пользователей) в Виртуальной глобальной сети Azure?

Виртуальная глобальная сеть поддерживает клиенты Azure VPN, OpenVPN и любые клиенты IKEv2. Проверка подлинности Microsoft Entra поддерживается с VPN-клиентом Azure. Требуется минимальная версия ос клиента Windows 10 версии 17763.0 или более поздней. Клиенты OpenVPN могут поддерживать проверку подлинности на основе сертификатов. Как только на шлюзе будет выбрана аутентификация на основе сертификата, вы увидите файл с расширением .ovpn* для скачивания на устройство. IKEv2 поддерживает как проверку подлинности на основе сертификата, так и проверку подлинности RADIUS.

Почему для VPN-подключения пользователя ("точка — сеть") пул клиентов P2S делится на два маршрута?

Каждый шлюз имеет два экземпляра. Разделение происходит таким образом, чтобы каждый экземпляр шлюза мог независимо распределять IP-адреса клиентов для подключенных клиентов и трафик из виртуальной сети направляется обратно в правильный экземпляр шлюза, чтобы избежать прыжка между шлюзом.

Как можно добавить DNS-серверы для клиентов P2S?

У вас есть два варианта добавления DNS-серверов для клиентов P2S. Первый вариант является предпочтительным, так как он подразумевает добавление настраиваемых DNS-серверов к шлюзу вместо клиента.

  1. Используйте следующий скрипт PowerShell для добавления пользовательских DNS-серверов. Замените значения для своей среды.

    // Define variables
    $rgName = "testRG1"
    $virtualHubName = "virtualHub1"
    $P2SvpnGatewayName = "testP2SVpnGateway1"
    $vpnClientAddressSpaces = 
    $vpnServerConfiguration1Name = "vpnServerConfig1"
    $vpnClientAddressSpaces = New-Object string[] 2
    $vpnClientAddressSpaces[0] = "192.168.2.0/24"
    $vpnClientAddressSpaces[1] = "192.168.3.0/24"
    $customDnsServers = New-Object string[] 2
    $customDnsServers[0] = "7.7.7.7"
    $customDnsServers[1] = "8.8.8.8"
    $virtualHub = $virtualHub = Get-AzVirtualHub -ResourceGroupName $rgName -Name $virtualHubName
    $vpnServerConfig1 = Get-AzVpnServerConfiguration -ResourceGroupName $rgName -Name $vpnServerConfiguration1Name
    
    // Specify custom dns servers for P2SVpnGateway VirtualHub while creating gateway
    createdP2SVpnGateway = New-AzP2sVpnGateway -ResourceGroupName $rgname -Name $P2SvpnGatewayName -VirtualHub $virtualHub -VpnGatewayScaleUnit 1 -VpnClientAddressPool $vpnClientAddressSpaces -VpnServerConfiguration $vpnServerConfig1 -CustomDnsServer $customDnsServers
    
    // Specify custom dns servers for P2SVpnGateway VirtualHub while updating existing gateway
    $P2SVpnGateway = Get-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName
    $updatedP2SVpnGateway = Update-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName -CustomDnsServer $customDnsServers 
    
    // Re-generate Vpn profile either from PS/Portal for Vpn clients to have the specified dns servers
    
  2. А если вы используете клиент Azure VPN для Windows 10, вы можете изменить скачанный XML-файл профиля и добавить теги <dnsservers><dnsserver></dnsserver></dnsservers>, прежде чем импортировать его.

       <azvpnprofile>
       <clientconfig>
    
           <dnsservers>
               <dnsserver>x.x.x.x</dnsserver>
               <dnsserver>y.y.y.y</dnsserver>
           </dnsservers>
    
       </clientconfig>
       </azvpnprofile>
    

Сколько клиентов поддерживается для пользовательского VPN-подключения ("точка — сеть")?

В приведенной ниже таблице описывается количество одновременных подключений и агрегированная пропускная способность VPN-шлюза "точка — сеть", поддерживаемого в разных единицах масштабирования.

Единица масштабирования Экземпляры шлюза Поддерживаемое число одновременных подключений Суммарная пропускная способность
1 2 500 0,5 Гбит/с
2 2 500 1 Гбит/с
3 2 500 1,5 Гбит/с
4 2 1000 2 Гбит/с
5 2 1000 2,5 Гбит/с
6 2 1000 3 Гбит/с
7 2 5000 3,5 Гбит/с
8 2 5000 4 Гбит/с
9 2 5000 4,5 Гбит/с
10 2 5000 5 Гбит/с
11 2 10000 5,5 Гбит/с
12 2 10000 6 Гбит/с
13 2 10000 6,5 Гбит/с
14 2 10000 7 Гбит/с
15 2 10000 7,5 Гбит/с
16 2 10000 8 Гбит/с
17 2 10000 8,5 Гбит/с
18 2 10000 9 Гбит/с
19 2 10000 9,5 Гбит/с
20 2 10000 10 Гбит/с
40 4 20000 20 Гбит/с
60 6 30 000 30 Гбит/с
80 8 40000 40 Гбит/с
100 10 50000 50 Гбит/с
120 12 60 000 60 Гбит/с
140 14 70 000 70 Гбит/с
160 16 80 000 80 Гбит/с
180 18 90000 90 Гбит/с
200 20 100000 100 Гбит/с

Для примера предположим, что пользователь выбрал единицу масштабирования 1. Каждая единица масштабирования подразумевает развертывание шлюза в режиме "активный — активный" с экземплярами (в нашем примере их 2), каждый из которых поддерживает до 500 подключений. Так как вы можете получить 500 подключений * 2 на шлюз, это не означает, что вы планируете 1000 вместо 500 для этой единицы масштаба. Возможно, потребуется обслуживать экземпляры, в течение которых подключение для дополнительного 500 может быть прервано при превышении рекомендуемого количества подключений.

Для шлюзов с единицами масштабирования, превышающими 20, развертываются дополнительные пары экземпляров шлюза с высоким уровнем доступности, чтобы обеспечить дополнительную емкость для подключения пользователей. Каждая пара экземпляров поддерживает до 10 000 дополнительных пользователей. Например, при развертывании шлюза со 100 единицами масштабирования развертываются 5 пар шлюзов (всего 10 экземпляров) и одновременно могут подключаться до 50 000 пользователей (10 000 пользователей x 5 пар шлюзов).

Кроме того, обязательно спланируйте время простоя на случай, если решите изменить масштаб на основе единицы масштабирования или изменить конфигурацию подключения "точка — сайт" в VPN-шлюзе.

Для VPN пользователя (точка — сеть) зарегистрировано приложение Майкрософт в службе "Проверка подлинности идентификатора записи"?

Да, зарегистрированное корпорацией Майкрософт приложение поддерживается в Виртуальная глобальная сеть. Вы можете перенести VPN-подключение пользователя из зарегистрированного вручную приложения в зарегистрированное корпорацией Майкрософт приложение для более безопасного подключения.

Что такое устройства масштабирования виртуального шлюза Виртуальной глобальной сети?

Единица масштабирования — это единица, определенная для выбора совокупной пропускной способности шлюза в виртуальном концентраторе. 1 единица масштабирования VPN = 500 Мбит/с. 1 единица масштабирования ExpressRoute = 2 Гбит/с. Пример 10 единиц масштабирования VPN — 500 Мбит/с * 10 = 5 Гбит/с.

Чем шлюз виртуальной сети Azure (VPN-шлюз) отличается от VPN-шлюза Виртуальной глобальной сети Azure?

Виртуальная глобальная сеть обеспечивает крупномасштабное подключение типа "сайт — сайт" и разрабатывается для пропускной способности, масштабируемости и легкости использования. При подключении сайта к VPN-шлюзу Виртуальной глобальной сети используется VPN-шлюз, а не обычный шлюз виртуальной сети с VPN-подключением "сеть — сеть". Если вы хотите подключить удаленных пользователей к Виртуальной глобальной сети, используйте VPN-шлюз типа "точка — сеть". VPN-шлюзы типа "точка — сеть" и "сеть — сеть" являются отдельными сущностями в концентраторе Виртуальной глобальной сети и должны развертываться отдельно. Аналогично, при подключении канала ExpressRoute к концентратору Виртуальной глобальной сети используется другой ресурс для шлюза ExpressRoute, отличающийся от типа ExpressRoute, который используется для стандартного шлюза виртуальной сети.

Виртуальная глобальная сеть поддерживает для VPN и ExpressRoute агрегированную пропускную способность до 20 Гбит/с. Виртуальная глобальная сеть также использует автоматизацию для подключения к экосистеме партнеров по периферийным устройствам CPE. Для периферийных устройств CPE используется встроенная автоматическая подготовка и подключение к Виртуальной глобальной сети Azure. Эти устройства доступны в растущей экосистеме SD-WAN и у партнеров VPN. Дополнительные сведения см. в списке предпочитаемых партнеров.

Чем Виртуальная глобальная сеть отличается от шлюза виртуальной сети Azure?

VPN-шлюз виртуальной сети ограничен 100 туннелями. Для подключения следует использовать Виртуальную глобальную сеть Azure для крупномасштабной VPN. Допускается до 1000 периферийных подключений на каждый виртуальный концентратор с общей пропускной способностью 20 Гбит/с на концентратор. Соединение — это туннель "активный — активный" от локального VPN-устройства к виртуальному концентратору. Кроме того, в каждом регионе Azure может быть несколько виртуальных концентраторов. Это значит, что можно подключить больше 1000 ветвей к одному региону Azure, развернув несколько концентраторов глобальных виртуальных сетей в данном регионе, на каждом из которых будет реализован собственный VPN-шлюз типа "сеть — сеть".

Каков рекомендуемый алгоритм и число пакетов в секунду на экземпляр подключения "сайт — сайт" в концентраторе Виртуальной глобальной сети? Сколько туннелей поддерживается на экземпляр? Какова максимальная пропускная способность, поддерживаемая в одном туннеле?

Виртуальная глобальная сеть поддерживает два активных экземпляра VPN-шлюза типа "сеть — сеть" в виртуальном концентраторе. Это означает, что в виртуальном центре есть набор из двух экземпляров VPN-шлюзов типа "активный-активный". Во время операций обслуживания каждый экземпляр обновляется по одному из-за того, что пользователь может столкнуться с кратким снижением статистической пропускной способности VPN-шлюза.

Хотя VPN Виртуальной глобальной сети поддерживает множество алгоритмов, чтобы обеспечить оптимальную производительность, мы рекомендуем GCMAES256 для шифрования IPSEC и обеспечения целостности. AES256 и SHA256 считаются менее производительными, поэтому с аналогичными алгоритмами может отмечаться ухудшение производительности, например увеличение задержки и пропуски пакетов.

Количество пакетов в секунду (PPS) — это коэффициент общего количества пакетов и пропускной способности, поддерживаемой для каждого экземпляра. Лучше всего это показать на примере. Предположим, что экземпляр VPN-шлюза "сайт — сайт" с 1 единицей масштабирования и скоростью 500 Мбит/с развертывается в центре виртуальной глобальной сети. Предполагая размер пакета 1400, ожидается, что для этого экземпляра VPN-шлюза имеет максимальный размер = [(500 Мбит/с * 1024 * 1024) /8/1400] ~ 47000.

С Виртуальной глобальной сетью используются такие понятия, как VPN-подключения, подключения каналов и туннели. Одно VPN-подключение состоит из подключений каналов. Виртуальная глобальная сеть поддерживает до 4 подключений каналов в одном VPN-подключении. Каждое подключение канала включает два туннеля IPsec, которые завершаются двумя экземплярами VPN-шлюза "активный — активный", развернутыми в виртуальном центре. Общее число туннелей, которые могут быть завершены в одном активном экземпляре, равно 1000. Это также означает, что пропускная способность для 1 экземпляра будет доступна в агрегированном виде для всех туннелей, подключающихся к такому экземпляру. Каждый туннель также имеет свои значения пропускной способности. В случаях, когда несколько туннелей подключены к шлюзу единицы масштабирования с более низким значением, лучше оценить потребность по каждому туннелю и спланировать VPN-шлюз, который представляет собой агрегированное значение пропускной способности всех туннелей, которые завершаются в экземпляре VPN.

Значения для различных единиц масштабирования, поддерживаемых в Виртуальная глобальная сеть

Единица масштабирования Максимальная пропускная способность на туннель (Мбит/с) Максимальное количество PPS на туннель Максимальная пропускная способность для каждого экземпляра (Мбит/с) Максимальное количество PPS на экземпляр
1 500 47 тыс. 500 47 тыс.
2 1000 94 тыс. 1000 94 тыс.
3 1500 140 тыс. 1500 140 тыс.
4 1500 140 тыс. 2000 187K
5 1500 140 тыс. 2500 234K
6 1500 140 тыс. 3000 281K
7 2300 215K 3500 328 тыс.
8 2300 215K 4000 374K
9 2300 215K 4500 421 тыс.
10 2300 215K 5000 468K
11 2300 215K 5500 515K
12 2300 215K 6000 562K
13 2300 215K 6500 609K
14 2300 215K 7000 655K
15 2300 215K 7500 702K
16 2300 215K 8000 749K
17 2300 215K 8500 796K
18 2300 215K 9000 843K
19 2300 215K 9500 889K
20 2300 215K 10000 936K

Примечание.

Все числа основаны на алгоритме GCM.

Какие поддерживаются поставщики устройств (партнеры Виртуальной глобальной сети)?

Сейчас множество партнеров полностью поддерживают автоматизированную Виртуальную глобальную сеть. Дополнительные сведения о виртуальных машинах см. в разделе Virtual WAN Preview (Виртуальная глобальная сеть (предварительный просмотр)).

Какие действия следует выполнить партнерам для автоматизации Виртуальной глобальной сети?

Инструкции см. в статье Участники Виртуальной глобальной сети (предварительная версия).

Нужно ли использовать основное устройство партнера?

№ Вы можете использовать любое VPN-устройство, отвечающее требованиям Azure для поддержки IKEv2/IKEv1 IPsec. Виртуальная глобальная сеть также имеет партнерские решения CPE, которые автоматизируют подключение к Виртуальной глобальной сети Azure, упрощая настройку VPN-подключений IPsec в большом масштабе.

Как партнеры Виртуальной глобальной сети автоматизируют подключение с помощью Виртуальной глобальной сети Azure?

Программно-определяемые решения обычно управляют своими филиалами устройств с помощью контроллера или центра обеспечения устройства. Контроллер может использовать API интерфейсы Azure для автоматизации подключения к Виртуальной глобальной сети Azure. Функция автоматизации поддерживает отправку сведений о ветви, скачивание конфигурации Azure, настройку туннелей IPSec на виртуальных концентраторах Azure и настройку подключения от периферийного устройства к Виртуальной глобальной сети Azure. Если у вас есть сотни ветвей, подключение через партнеров CPE Виртуальной глобальной сети будет очень простым, так как соответствующий интерфейс избавит вас от проблем с установкой, настройкой и администрированием большого количества подключений IPsec. Дополнительные сведения о виртуальных машинах см. в разделе Configure Virtual WAN automation - for Virtual WAN partners (Preview) (Настройка автоматизации виртуальной WAN для участников Virtual WAN (предварительный просмотр)).

Что, если используемое устройство отсутствует в списке партнеров Виртуальной глобальной сети? Можно ли по прежнему подключатся к VPN Виртуальной глобальной сети Azure?

Да, до тех пор, пока устройство поддерживает IPsec IKEv1 или IKEv2. Партнеры Виртуальной глобальной сети автоматизируют подключение из устройства к конечным точкам VPN Azure. Это подразумевает шаги по автоматизации, такие как "передача информации ветви", "IPsec и конфигурация" и "подключение". Так как ваше устройство не является частью партнерской экосистемы Виртуальной глобальной сети, вам потребуется вручную задать конфигурацию Azure, а также обновить свое устройство, чтоб настроить подключение IPsec.

Как подключить новых партнеров, которые не указаны в списке партнеров по запуску?

Все API Виртуальной глобальной сети являются OpenAPI. Вы можете ознакомиться с документацией в статье Рекомендации по автоматизации для партнеров виртуальной глобальной сети, чтобы оценить технические возможности. У идеального партнера есть устройство, которое можно использовать для подключения к IKEv1 или IKEv2 IPsec. После того как компания завершит работы по автоматизации своего устройства CPE на основе вышеприведенных рекомендаций, вы сможете обратиться по адресу azurevirtualwan@microsoft.com, чтобы указать устройство в разделе Подключение между партнерами. Если вы хотели бы, чтобы решение определенной компании было указано как решение партнера Виртуальной глобальной сети, попросите представителей компании связаться с партнерами этой сети, отправив электронное письмо по адресу azurevirtualwan@microsoft.com.

Как Виртуальная глобальная сеть поддерживает устройства SD-WAN?

Партнеры Виртуальной глобальной сети автоматизируют подключение IPsec к конечным точкам VPN Azure. Если партнером Виртуальной глобальной сети является поставщик SD-WAN, подразумевается, что контроллер SD-WAN управляет автоматизацией и подключением IPsec к конечным точкам VPN Azure. Если для устройства SD-WAN требуется собственная конечная точка вместо VPN Azure для любых собственных функций SD-WAN, можно развернуть конечную точку SD-WAN в виртуальной сети Azure и сосуществовать с Azure Виртуальная глобальная сеть.

поддерживается Виртуальная глобальная сетьПиринг BGP и также имеет возможность развертывать NVAs в виртуальном концентраторе глобальной сети.

Какое количество VPN-устройств можно подключить к одному концентратору?

Каждый виртуальный концентратор поддерживает до 1000 подключений. Каждое подключение состоит из четырех соединений, каждое из которых в свою очередь поддерживает два туннеля с конфигурацией "активный — активный". Туннели завершаются в VPN-шлюзе виртуального концентратора в Azure. Ссылки представляют собой физическую ссылку на поставщика услуг Интернета на устройстве ветви или VPN.

Что представляет собой подключение ветви к Виртуальной глобальной сети Azure?

Подключение из ветви или VPN-устройства к Виртуальной глобальной сети Azure — это VPN-подключение, с помощью которого сайт VPN и VPN-шлюз Azure виртуально подключаются в виртуальном концентраторе.

Что произойдет, если локальное VPN-устройство имеет только один туннель к VPN-шлюзу Виртуальной глобальной сети Azure?

Подключение к Виртуальной глобальной сети Azure использует два туннеля. VPN-шлюз Виртуальной глобальной сети развертывается в виртуальном концентраторе в режиме "активный — активный", который предусматривает отдельные туннели от локальных устройств, заканчивающиеся на отдельных экземплярах. Это рекомендация для всех пользователей. Однако если пользователь выбирает только один туннель к одному из экземпляров VPN-шлюза Виртуальная глобальная сеть, если по какой-либо причине (обслуживание, исправления и т. д.) экземпляр шлюза принимается в автономный режим, туннель будет перемещен в дополнительный активный экземпляр, и пользователь может повторно подключиться. Сеанс BGP нельзя переносить на другие экземпляры.

Что происходит во время сброса шлюза в ВИРТУАЛЬНАЯ ГЛОБАЛЬНАЯ СЕТЬ VPN-шлюзе?

Кнопка сброса шлюза используется, если локальные устройства работают должным образом, но VPN-подключения типа "сеть — сеть" в Azure находятся в отключенном состоянии. VPN-шлюзы Виртуальной глобальной сети всегда развертываются в состоянии "активный — активный" для обеспечения высокой доступности. Это означает, что в любой момент времени в VPN-шлюзе развернуто несколько экземпляров. При использовании кнопки сброса шлюза происходит последовательная перезагрузка экземпляров в VPN-шлюзе, поэтому работа подключений не прерывается. При переходе подключений с одного экземпляра на другой возникает небольшой простой, но он составляет меньше минуты. Кроме того, обратите внимание, что сброс шлюзов не приведет к изменению общедоступных IP-адресов.

Этот сценарий применяется только к подключениям S2S.

Можно ли подключить локальное VPN-устройство к нескольким концентраторам?

Да. Поток трафика при запуске направляется от локального устройства к ближайшему пограничному устройству Майкрософт, а затем — к виртуальному концентратору.

Существуют ли новые ресурсы диспетчера ресурсов для Виртуальной глобальной сети?

Да, Виртуальная глобальная сеть представляет новые ресурсы Resource Manager. Дополнительные сведения см. в статье Общие сведения о Службе контейнеров Azure.

Можно ли развернуть и использовать любимое сетевое виртуальное устройство (в виртуальной сети NVA) с помощью Azure Виртуальная глобальная сеть?

Да, вы можете подключить виртуальную сеть виртуального сетевого устройства (NVA) к Виртуальная глобальная сеть Azure.

Могу ли я создать сетевой виртуальный модуль в виртуальном концентраторе?

Виртуальный сетевой модуль (NVA) можно развернуть в виртуальном концентраторе. Инструкции см. в разделе "Сведения о NVAs" в центре Виртуальная глобальная сеть.

Можно ли разместить виртуальный сетевой шлюз в периферийной виртуальной сети?

№ Периферийная виртуальная сеть не может содержать шлюз, если она подключена к виртуальному концентратору.

Может ли виртуальная сеть с периферийной виртуальной сетью иметь сервер маршрутизации Azure?

№ В периферийной виртуальной сети не может быть сервер маршрутизации, если он подключен к концентратору виртуальной глобальной сети.

Поддерживается ли протокол BGP в VPN-подключении?

Да, протокол BGP поддерживается. При создании сайта VPN для него можно указать параметры BGP. Это означает, что все подключения, созданные в Azure для этого сайта, будут включены для BGP.

Есть ли сведения о лицензировании и ценообразовании для Виртуальной глобальной сети?

Да. Откройте страницу Цены.

Можно ли создать Виртуальную глобальную сеть Azure с помощью шаблона Resource Manager?

Вы можете создать простую конфигурацию из одной Виртуальной глобальной сети, одного концентратора и одного сайта VPN на основе шаблона быстрого запуска. Виртуальная глобальная сеть по сути представляет собой службу REST или службу, управляемую порталом.

Может ли в периферийной зоне виртуальных сетей, подключенных к виртуальному концентратору, происходить обмен данными (передача данных V2V)?

Да. Виртуальная глобальная сеть уровня "Стандартный" поддерживает транзитивное подключение между виртуальными сетями через концентратор Виртуальной глобальной сети, к которому они подключены. В терминологии Виртуальная глобальная сеть мы называем эти пути "локальным Виртуальная глобальная сеть транзитом виртуальной сети" для виртуальных сетей, подключенных к Виртуальная глобальная сеть концентратору в одном регионе, и "глобальным Виртуальная глобальная сеть Транзит виртуальной сети для виртуальных сетей, подключенных через несколько Виртуальная глобальная сеть концентраторов в двух или более регионах.

В некоторых сценариях виртуальные сети периферийных зон также можно напрямую объединить, используя пиринг между виртуальными сетями в дополнение к локальному или глобальному транзиту Виртуальной глобальной сети. В этом случае пиринг виртуальной сети имеет приоритет над транзитивным подключением через концентратор Виртуальной глобальной сети.

Разрешено ли в Виртуальной глобальной сети Azure подключение типа "ветвь — ветвь"?

Да, подключение типа "ветвь — ветвь" доступно в Виртуальной глобальной сети Azure. Ветвь концептуально применима к VPN-сайту, каналам ExpressRoute или пользователям, использующим VPN-подключение "точка — сеть". Подключение между ветвями включено по умолчанию и может быть найдено в параметрах конфигурации Виртуальной глобальной сети. Это позволяет ветвям и пользователям VPN подключаться к другим VPN-ветвям, а также использовать транзитное подключение между пользователями VPN и ExpressRoute.

Проходит ли трафик между ветвями через Виртуальную глобальную сеть Azure?

Да. Трафик между ветвями проходит через Виртуальную глобальную сеть Azure.

Требуется ли подключение ExpressRoute с каждого сайта для Виртуальной глобальной сети?

№ Виртуальной глобальной сети Azure не требуется ExpressRoute с каждого сайта. Ваши сайты могут быть подключены к сети поставщика с помощью канала ExpressRoute. Для сайтов, подключенных к виртуальному концентратору с помощью ExpressRoute и VPN IPsec в одном и том же концентраторе, виртуальный концентратор обеспечивает транзитное подключение между пользователем VPN и ExpressRoute.

Есть ли пропускная способность или предельное значение сети при использовании Виртуальной глобальной сети Azure?

Пропускная способность сети зависит от службы в концентраторе Виртуальной глобальной сети. В каждом концентраторе статистическая пропускная способность VPN составляет до 20 Гбит/с, агрегатная пропускная способность ExpressRoute составляет до 20 Гбит/с, а пропускная способность VPN-подключения "точка — сеть" составляет до 200 Гбит/с. Маршрутизатор в виртуальном концентраторе поддерживает до 50 Гбит/с для потоков трафика между виртуальными сетями и предусматривает общую рабочую нагрузку 2000 ВМ по всем виртуальным сетям, подключенным к одному виртуальному концентратору.

Чтобы обеспечить резервную мощность, не дожидаясь горизонтального увеличения масштаба виртуального концентратора, если требуется дополнительная пропускная способность, можно задать минимальную емкость или изменить по мере необходимости. См. Про виртуальный концентратор — емкость концентратора. Чтобы оценить затраты, просмотрите цены на единицы инфраструктуры маршрутизации на странице Цены на Виртуальную глобальную сеть Azure.

Когда VPN-сайты подключаются к концентратору, они используют подключения. Виртуальная глобальная сеть поддерживает до 1000 подключений или 2000 IPsec-туннелей на виртуальный концентратор. Когда удаленные пользователи подключаются к виртуальному центру, они подключаются к VPN-шлюзу P2S, который поддерживает до 100 000 пользователей в зависимости от единицы масштабирования (пропускной способности), выбранной для VPN-шлюза P2S в виртуальном центре.

Можно ли использовать NAT-T для моих VPN-подключений?

Да, обход NAT (NAT-T) поддерживается. VPN-шлюз Виртуальной глобальной сети НЕ будет выполнять никаких функций, связанных с NAT, для внутренних пакетов, поступающих в туннели IPsec и из них. В этой конфигурации убедитесь, что локальное устройство инициирует использование туннеля IPsec.

Как настроить единицу масштабирования для определенного параметра, например 20 Гбит/с?

Перейдите к VPN-шлюзу внутри концентратора на портале, а затем щелкните единицу масштабирования, чтобы изменить ее на соответствующий параметр.

Позволяет ли Виртуальная глобальная сеть локальному устройству использовать несколько поставщиков услуг Интернета параллельно или допускается только один туннель VPN?

В локальных решениях для устройств могут применяться политики трафика для передачи трафика между несколькими туннелями в концентратор Виртуальной глобальной сети Azure (VPN-шлюз в виртуальном концентраторе).

Что такое глобальная транзитная архитектура?

Дополнительные сведения см. в статье Архитектура глобальной транзитной сети и Виртуальная глобальная сеть.

Как направляется трафик в магистральную сеть Azure?

Трафик передается по следующему маршруту: устройство ветви -> поставщик услуг Интернета -> пограничное устройство Майкрософт -> контроллер домена Майкрософт (виртуальная сеть концентратора) -> пограничное устройство Майкрософт -> поставщик услуг Интернета -> устройство ветви.

Что необходимо каждому веб-сайту в этой модели? Только подключение к Интернету?

Да. Требуются подключение к Интернету и физическое устройство с поддержкой IPsec, предпочтительно полученное от наших интегрированных партнеров Виртуальной глобальной сети. При желании вы можете вручную управлять конфигурацией и подключением своего устройства к Azure.

Как включить маршрут по умолчанию (0.0.0.0/0) для подключения (VPN, ExpressRoute или виртуальная сеть)?

Виртуальный концентратор может распространять полученный маршрут по умолчанию в виртуальную сеть, VPN-подключение типа "сеть — сеть" или подключение ExpressRoute, если для соответствующего подключения установлен флаг "Включено". Этот флаг отображается, когда пользователь редактирует подключение к виртуальной сети, VPN-подключение или подключение ExpressRoute. По умолчанию этот флаг отключается, когда сайт или канал ExpressRoute подключается к концентратору. Он включается по умолчанию, когда добавляется виртуальное сетевое подключение между виртуальной сетью и виртуальным концентратором.

Маршрут по умолчанию не создается в концентраторе Виртуальной глобальной сети. Он распространяется, только если он уже был получен концентратором Виртуальной глобальной сети в результате развертывания брандмауэра в концентраторе или если для другого подключенного сайта включено принудительное туннелирование. Маршрут по умолчанию не распространяется между концентраторами.

Можно ли создать несколько виртуальных центров Виртуальной глобальной сети в одном регионе?

Да. Теперь клиенты могут создавать более одного центра в одном регионе для одной Виртуальной глобальной сети Azure.

Как в Виртуальной глобальной сети виртуальный концентратор выбирает оптимальный путь для маршрута из нескольких концентраторов?

Дополнительные сведения см. на странице предпочтения маршрутизации виртуального концентратора.

Разрешает ли концентратор Виртуальной глобальной сети подключение между каналами ExpressRoute?

Транзит между каналами ER всегда осуществляется через Global Reach. Шлюзы виртуальных концентраторов развертываются в DC или регионах Azure. Когда два канала ExpressRoute подключаются через Global Reach, нет необходимости, чтобы трафик проходил весь путь от пограничных маршрутизаторов до контроллера домена виртуального концентратора.

Существует ли понятие веса в каналах ExpressRoute Виртуальной глобальной сети Azure или VPN-подключениях?

Когда несколько каналов ExpressRoute подключены к виртуальному концентратору, вес маршрутизации в подключении обеспечивает механизм для ExpressRoute в виртуальном концентраторе, который предпочитает один канал другому. Нет механизма установки веса для VPN-подключения. Azure всегда предпочитает подключение ExpressRoute вместо VPN-подключения в пределах одного концентратора.

Предпочитает ли Виртуальная глобальная сеть канал ExpressRoute вместо VPN-подключения для исходящего трафика Azure?

Да. Виртуальная глобальная сеть предпочитает канал ExpressRoute вместо VPN-подключения для исходящего трафика Azure. Однако вы можете настроить параметры маршрутизации виртуального концентратора, чтобы изменить параметры по умолчанию. Инструкции см. в разделе "Настройка предпочтения маршрутизации виртуального концентратора".

Если концентратор Виртуальной глобальной сети имеет канал ExpressRoute и к нему подключен сайт VPN, что может привести к тому, что маршрут VPN-подключения будет предпочтительнее, чем ExpressRoute?

При подключении канала ExpressRoute к виртуальному концентратору маршрутизаторы Microsoft Edge являются первым узлом для обмена данными между локальной средой и Azure. Эти пограничные маршрутизаторы обмениваются данными со шлюзами ExpressRoute Виртуальной глобальной сети, которые, в свою очередь, узнают маршруты от маршрутизатора виртуального концентратора, который контролирует все маршруты между любыми шлюзами в Виртуальной глобальной сети. Пограничные маршрутизаторы Майкрософт обрабатывают маршруты ExpressRoute виртуального концентратора с более высоким приоритетом по сравнению с маршрутами, полученными из локальной системы.

Если для изучения маршрутов (например, сценарии отработки отказа между ExpressRoute и VPN) по любой причине VPN-подключение становится основной средой передачи для виртуального концентратора, виртуальный концентратор продолжит обмениваться изученными VPN-маршрутами со шлюзом ExpressRoute, если только сайт VPN не имеет большей длины пути AS. Это приведет к тому, что для пограничных маршрутизаторов Майкрософт предпочтительными будут VPN-маршруты, а не локальные маршруты.

Поддерживает ли ExpressRoute маршрутизацию с несколькими путями (ECMP) в Виртуальная глобальная сеть?

При подключении нескольких каналов ExpressRoute к концентратору Виртуальная глобальная сеть ECMP позволяет трафику из периферийных виртуальных сетей в локальную сеть через ExpressRoute распространяться по всем каналам ExpressRoute, рекламируя одни и те же локальные маршруты. ECMP в настоящее время не включен по умолчанию для центров Виртуальная глобальная сеть.

Когда подключены два концентратора (концентратор 1 и 2) и имеется канал ExpressRoute, подключенный в виде бабочки к обоим концентраторам, какой путь для виртуальной сети, подключенной к концентратору 1, используется для связи с виртуальной сетью, подключенной в концентраторе 2?

В настоящее время предпочтение отдается пути канала ExpressRoute, а не пути между концентраторами для подключения между виртуальными сетями. Но это не рекомендуется при настройке Виртуальной глобальной сети. Чтобы устранить проблему, необходимо выполнить одно из двух приведенных ниже действий:

  • Для потоков трафика между регионами настройте систему так, чтобы несколько каналов ExpressRoute (разных поставщиков) подключались к одному концентратору, и используйте подключение между концентраторами, предоставляемое службой "Виртуальная глобальная сеть".

  • Настройте AS-путь в качестве параметра маршрутизации концентратора для виртуального концентратора. Это обеспечивает трафик между двумя концентраторами через маршрутизатор виртуального концентратора в каждом концентраторе и использует путь "концентратор — концентратор" вместо пути ExpressRoute (который проходит через маршрутизаторы Microsoft Edge). Дополнительные сведения см. в разделе о предпочтении маршрутизации виртуального концентратора.

Когда есть канал ExpressRoute, подключенный как привязка к концентратору Виртуальная глобальная сеть и автономной виртуальной сети, что такое путь к автономной виртуальной сети для достижения Виртуальная глобальная сеть концентратора?

Для новых развертываний это подключение блокируется по умолчанию. Чтобы разрешить это подключение, можно включить эти переключатели шлюза ExpressRoute в колонке "Изменить виртуальный концентратор" и "Шлюз виртуальной сети" на портале. Однако рекомендуется сохранить эти переключатели отключенными и вместо этого создать подключение виртуальная сеть для прямого подключения автономных виртуальных сетей к концентратору Виртуальная глобальная сеть. После этого трафик виртуальной сети к виртуальной сети будет проходить через маршрутизатор центра Виртуальная глобальная сеть, который обеспечивает лучшую производительность, чем путь ExpressRoute. Путь ExpressRoute включает шлюз ExpressRoute, который имеет более низкие ограничения пропускной способности, чем маршрутизатор концентратора, а также маршрутизаторы Microsoft Enterprise Edge/MSEE, который является дополнительным прыжком в пути данных.

На приведенной ниже схеме необходимо включить переключатели, чтобы разрешить подключение между автономной виртуальной сетью 4 и виртуальными сетями, напрямую подключенными к концентратору 2 (виртуальная сеть 2 и виртуальная сеть 3). Разрешить трафик из удаленных Виртуальная глобальная сеть сетей для шлюза виртуальной сети и разрешить трафик из не Виртуальная глобальная сеть сетей для шлюза ExpressRoute виртуального концентратора. Если сервер маршрутизации Azure развернут в автономной виртуальной сети 4, а сервер маршрутизации имеет ветвь ветвь , подключение будет заблокировано между виртуальной сетью 1 и автономной виртуальной сетью 4.

Включение или отключение переключателя влияет только на следующий поток трафика: трафик между концентратором Виртуальная глобальная сеть и автономной виртуальной сетью через канал ExpressRoute. Включение или отключение переключателя не приведет к простою для всех других потоков трафика (например, локальный сайт для периферийной виртуальной сети 2 не будет влиять, виртуальная сеть 2 — виртуальная сеть 2 на виртуальную сеть 3 не будет влиять и т. д.).

Схема автономной виртуальной сети, подключающейся к виртуальному концентратору через канал ExpressRoute.

Можно ли создавать центры в разных группах ресурсов в Виртуальная глобальная сеть?

Да. Сейчас это можно сделать только с помощью PowerShell. На портале Виртуальной глобальной сети концентраторы можно разместить только в той группе ресурсов, где находится ресурс Виртуальной глобальной сети.

Рекомендуемый диапазон адресов для концентратора Виртуальной глобальной сети — /23. Концентратор Виртуальной глобальной сети назначает подсети различным шлюзам (ExpressRoute, VPN типа "сеть — сеть", VPN типа "точка — сеть", Брандмауэр Azure, маршрутизатор виртуального концентратора). В сценариях, где виртуальные сетевые модули развертываются в виртуальном концентраторе, для всех экземпляров виртуальных сетевых модулей обычно резервируется диапазон /28. Однако если пользователь должен был подготовить несколько NVA, может быть назначена подсеть /27. Хотя концентраторы Виртуальной глобальной сети развертываются с минимальным размером подсети /24, с учетом будущих требований архитектуры пользователю рекомендуется указать диапазон адресов /23 при создании концентратора.

Поддерживается ли IPv6 в Virtual WAN?

IPv6 не поддерживается в концентраторе Виртуальной глобальной сети и его шлюзах. Если у вас есть виртуальная сеть с поддержкой IPv4 и IPv6 и вы хотите подключить виртуальную сеть к Виртуальной глобальной сети, этот сценарий в настоящее время не поддерживается.

Для сценариев с применением VPN-подключения пользователя типа"точка — сеть" с прерыванием Интернет-подключений через Брандмауэр Azure, вам, скорее всего, потребуется отключить подключение по протоколу IPv6 на клиентском устройстве, чтобы трафик принудительно передавался в концентратор Виртуальный глобальной сети. Это связано с тем, что современные устройства по умолчанию используют IPv6-адреса.

Требуется минимальная версия 05-01-2022 (1 мая 2022 г.).

Существуют ли ограничения для Виртуальной глобальной сети?

См. раздел Ограничения Виртуальной глобальной сети на странице "Ограничения подписок и служб".

Чем отличаются ценовые категории Виртуальных глобальных сетей ("Базовый" и "Стандартный")?

Ознакомьтесь с разделом Виртуальные глобальные сети уровня "Базовый" и "Стандартный". Актуальные сведения см. на странице с ценами.

Хранятся ли данные клиента в виртуальной глобальной сети?

№ В Виртуальной глобальной сети не хранятся данные клиента.

Существуют ли поставщики управляемых служб, которые могут (в качестве услуги) управлять виртуальной глобальной сетью для пользователей?

Да. Список решений от поставщиков управляемых служб (MSP), поддерживаемых в Azure Marketplace, см. в разделе Предложения в Azure Marketplace от партнеров программы для поставщиков сетевых устройств и служб Azure (MSP).

Чем маршрутизация концентратора Виртуальной глобальной сети отличается от Azure Route Server в виртуальной сети?

Центр Виртуальной глобальной сети Azure и Azure Route Server предоставляют возможности пиринга по протоколу BGP, которые могут использоваться NVA (виртуальный сетевой модуль) для объявления IP-адресов из NVA в виртуальных сетях Azure пользователя. Параметры развертывания различаются в том аспекте, что Azure Route Server обычно разворачивается с помощью виртуальной сети концентратора клиента с самостоятельным управлением, в то время как Виртуальная глобальная сеть Azure предоставляет полносвязную службу концентратора с автоматическим развертыванием, к которой клиенты подключаются через различные периферийные конечные точки (виртуальная сеть Azure, локальные ветви с VPN-подключением типа "сеть — сеть" или SDWAN, удаленные пользователи с VPN-подключением типа "точка — сеть" или удаленное VPN-подключение пользователя, а также частные подключения с ExpressRoute) и получают доступ к пирингу BGP для виртуальных сетевых модулей, развернутых в распределенной виртуальной сети вместе с другими возможностями виртуальной глобальной сети, такими как транзитное подключение между виртуальными сетями, транзитное подключение между VPN и ExpressRoute, настраиваемая и расширенная маршрутизация, настраиваемое связывание и распространение маршрутов, намерение и политики маршрутизации для беспроблемной защиты между регионами, защищенный концентратор и Брандмауэра Azure и т. д. Дополнительные сведения о пиринге BGP Виртуальной глобальной сети см. в статье Пиринг BGP с помощью виртуального концентратора.

Если для защиты интернет-трафика используется сторонний поставщик безопасности (Zscaler, iBoss или Checkpoint), почему на портале Azure не отображается сайт VPN, связанный с этим поставщиком?

Если для защиты доступа пользователей к Интернету вы решили развернуть решение от поставщика безопасности, который является партнером корпорации Майкрософт, этот сторонний поставщик безопасности от вашего имени создает сайт VPN. Так как сторонний поставщик безопасности создается автоматически поставщиком и не является сайтом VPN, созданным пользователем, этот сайт VPN не будет отображаться на портале Microsoft Azure.

Подробнее о доступных решениях сторонних поставщиков безопасности и их настройке см. в статье Развертывание поставщика безопасности из числа партнеров корпорации Майкрософт.

Будут ли сообщества BGP, созданные локальной средой, сохраняться в Виртуальной глобальной сети?

Да, сообщества BGP, созданные локальной средой, будут сохраняться в Виртуальной глобальной сети.

Будут ли сообщества BGP, созданные одноранговыми узлами BGP (в присоединенном виртуальная сеть) сохранены в Виртуальная глобальная сеть?

Да, сообщества BGP, созданные пирами BGP, будут сохранены в Виртуальная глобальная сеть. Сообщества сохраняются в одном концентраторе и между подключениями между узлами. Это также относится к сценариям Виртуальная глобальная сеть с помощью политик намерения маршрутизации.

Какие номера ASN поддерживаются для удаленных подключенных локальных сетей с BGP?

Вы можете использовать собственные общедоступные или частные ASN для локальных сетей. Диапазоны, зарезервированные Azure или IANA, использовать нельзя:

  • ASN, зарезервированные Azure:
    • Общедоступные ASN: 8074, 8075, 12076.
    • Частные ASN: 65515, 65517, 65518, 65519, 65520.
    • Номера ASN, зарезервированные для IANA: 23456, 64496-64511, 65535-65551

Можно ли изменить ASN для VPN-шлюза?

№ Виртуальная глобальная сеть не поддерживает изменения ASN для VPN-шлюзов.

Какова предполагаемая производительность SKU шлюза ExpressRoute в Виртуальной глобальной сети?

Единица масштабирования Подключений в секунду Мбит в секунду Пакетов в секунду
1 единица масштабирования
14 000 2 000 200 000
2 единицы масштабирования
28 000 4000 400 000
3 единицы масштабирования
42 000 6000 600,000
4 единицы масштабирования
56 000 8000 800 000
5 единиц масштабирования
70 000 10 000 1 000 000
6 единиц масштабирования
84 000 12 000 1 200 000
7 единиц масштабирования
98 000 14 000 1 400 000
8 единиц масштабирования
112 000 16 000 1 600 000
9 единиц масштабирования
126 000 18 000 1 800 000
10 единиц масштабирования
140,000 20,000 2 000 000

* Единицы масштабирования 2–10 во время операций обслуживания поддерживают агрегированную пропускную способность. Но для единицы масштабирования 1 во время операции обслуживания пропускная способность может немного измениться.

Если подключить локальный канал ExpressRoute к центру Виртуальная глобальная сеть, я сможет получить доступ только к регионам в том же расположении метро, что и локальный канал?

Локальные каналы могут быть подключены только к шлюзам ExpressRoute в соответствующем регионе Azure. Однако нет ограничений для маршрутизации трафика в периферийные виртуальные сети в других регионах.

Почему для маршрутизатора виртуального концентратора требуется общедоступный IP-адрес с открытыми портами?

Эти общедоступные конечные точки необходимы для базовой платформы SDN и управления Azure для взаимодействия с маршрутизатором виртуального концентратора. Так как маршрутизатор виртуального концентратора считается частью частной сети клиента, базовая платформа Azure не может напрямую обращаться к маршрутизатору концентратора через свои частные конечные точки из-за требований соответствия требованиям. Подключение к общедоступным конечным точкам маршрутизатора концентратора проходит проверку подлинности с помощью сертификатов, а Azure проводит обычные аудиты безопасности этих общедоступных конечных точек. В результате они не представляют собой воздействие на безопасность виртуального концентратора.

Существует ли ограничение на число маршрутов для клиентов OpenVPN, которые подключаются к VPN-шлюзу P2S в Azure?

Ограничение на число маршрутов для клиентов OpenVPN — 1000.

Как вычисляется Соглашение об уровне обслуживания (SLA) для Виртуальной глобальной сети?

Виртуальная глобальная сеть — это платформа на основе модели "сеть как услуга", имеющая SLA на уровне 99,95 %. Но Виртуальная глобальная сеть сочетает множество различных компонентов, таких как Брандмауэр Azure, VPN типа "сеть — сеть", ExpressRoute, VPN типа "точка — сеть" и Центр Виртуальной глобальной сети или интегрированные сетевые виртуальные модули.

SLA для каждого компонента вычисляется отдельно. Например, если для ExpressRoute допустим простой длительностью в 10 минут, доступность ExpressRoute вычисляется как (максимальное доступное время в минутах - время простоя) / максимальное время доступности в минутах * 100.

Можно ли изменить адресное пространство виртуальной сети в периферийной виртуальной сети, подключенной к концентратору?

Да, это можно сделать автоматически без обновления или сброса необходимых для пирингового подключения. Обратите внимание на следующее:

  • Не нужно нажать кнопку "Синхронизировать" в колонке пиринга. После изменения адресного пространства виртуальной сети пиринг виртуальной сети будет автоматически синхронизироваться с виртуальной сетью виртуального концентратора.
  • Убедитесь, что обновленное адресное пространство не перекрывается адресным пространством для существующих периферийных виртуальных сетей в Виртуальная глобальная сеть.

Дополнительные сведения об изменении адресного пространства виртуальной сети см. здесь.

Что такое максимальное количество периферийных виртуальная сеть адресов, поддерживаемых для центров, настроенных с намерением маршрутизации?

Максимальное количество адресных пространств во всех виртуальная сеть напрямую подключенных к одному концентратору Виртуальная глобальная сеть составляет 400. Это ограничение применяется отдельно к каждому концентратору Виртуальная глобальная сеть в развертывании Виртуальная глобальная сеть. виртуальная сеть адресные пространства, подключенные к удаленным (другим центрам Виртуальная глобальная сеть в том же Виртуальная глобальная сеть) не учитываются в этом пределе.

Это ограничение можно изменить. Дополнительные сведения об ограничении см. в процедуре запроса на увеличение предела и примеры скриптов, чтобы определить количество адресных пространств в виртуальная сеть, подключенных к концентратору Виртуальная глобальная сеть, см. в статье об ограничениях адресного пространства виртуальной сети для маршрутизации.

Виртуальная глобальная сеть обслуживание управляемого клиентом шлюза

Какие службы включены в область конфигурации обслуживания сетевых шлюзов?

Для Виртуальная глобальная сеть можно настроить периоды обслуживания для VPN-шлюзов типа "сеть — сеть" и шлюзов ExpressRoute.

Какое обслуживание поддерживается или не поддерживается управляемым клиентом обслуживанием?

Службы Azure проходят периодические обновления обслуживания для улучшения функциональности, надежности, производительности и безопасности. После настройки периода обслуживания для ресурсов в этом окне выполняется обслуживание гостевой ОС и службы. Эти обновления относятся к большинству элементов обслуживания, вызывающих озабоченность для клиентов.

Базовые обновления оборудования узла и инфраструктуры центра обработки данных не охватываются обслуживанием, контролируемым клиентом. Кроме того, если возникает проблема с безопасностью с высоким уровнем серьезности, которая может угрожать нашим клиентам, Azure может потребоваться переопределить управление клиентом в период обслуживания и развернуть изменение. Это редкие случаи, которые будут использоваться только в крайних случаях.

Можно ли получить расширенное уведомление об обслуживании?

В настоящее время расширенное уведомление не может быть включено для обслуживания ресурсов сетевого шлюза.

Можно ли настроить период обслуживания менее пяти часов?

В настоящее время необходимо настроить как минимум пять часового периода в предпочтительном часовом поясе.

Можно ли настроить расписание обслуживания, которое не повторяется ежедневно?

В настоящее время необходимо настроить период ежедневного обслуживания.

Должны ли ресурсы конфигурации обслуживания находиться в том же регионе, что и ресурс шлюза?

Да.

Необходимо ли развернуть минимальную единицу масштабирования шлюза, чтобы иметь право на обслуживание, управляемое клиентом?

Сколько времени требуется для того, чтобы политика конфигурации обслуживания стала эффективной после того, как она будет назначена ресурсу шлюза?

Для выполнения расписания обслуживания шлюзов сети может потребоваться до 24 часов после того, как политика обслуживания связана с ресурсом шлюза.

Как запланировать периоды обслуживания при использовании VPN и ExpressRoute в сценарии сосуществования?

При работе с VPN и ExpressRoute в сценарии сосуществования или при наличии ресурсов, действующих в качестве резервных копий, рекомендуется настроить отдельные периоды обслуживания. Этот подход гарантирует, что обслуживание не влияет на ресурсы резервного копирования одновременно.

Я запланировал период обслуживания для следующей даты для одного из моих ресурсов. Будут ли действия по обслуживанию приостановлены на этом ресурсе до тех пор?

Нет, действия по обслуживанию не будут приостановлены на ресурсе в течение периода до запланированного периода обслуживания. В течение дней, не охваченных расписанием обслуживания, обслуживание продолжается как обычно на ресурсе.

Существуют ли ограничения на количество маршрутов, которые можно объявлять?

Да, есть ограничения. ExpressRoute поддерживает до 4000 префиксов для частного пиринга и 200 префиксов для пиринга Майкрософт. С помощью ExpressRoute Premium можно увеличить ограничение до 10 000 маршрутов для частного пиринга. Максимальное количество маршрутов, объявленных из частного пиринга Azure через шлюз ExpressRoute по каналу ExpressRoute, равно 1000, которое одинаково для каналов ExpressRoute уровня "Стандартный" и "Премиум". Дополнительные сведения см. в разделе "Ограничения маршрутов ExpressRoute" на странице ограничений подписки Azure и квот, обратите внимание, что объявления маршрутов IPv6 в настоящее время не поддерживаются с Виртуальная глобальная сеть.

Существуют ли ограничения на диапазоны IP-адресов, которые можно объявлять в сеансе BGP?

Да, есть ограничения. Частные префиксы (RFC1918) не принимаются для сеанса BGP пиринга Майкрософт. Однако любой размер префикса до префикса /32 принимается как для пиринга Майкрософт, так и для частного пиринга.

Что произойдет, если превышено ограничение маршрута BGP?

Если превышено ограничение маршрута BGP, сеансы BGP будут отключены. Сеансы будут восстановлены после уменьшения числа префиксов ниже предела. Дополнительные сведения см. в ограничениях маршрута каналов ExpressRoute на странице ограничений и квот подписки Azure.

Можно ли отслеживать количество маршрутов, объявленных или полученных по каналу ExpressRoute?

Да, вы можете. Рекомендации по мониторингу оповещений на основе метрик см. в рекомендациях по мониторингу Azure.

Что такое рекомендация по сокращению числа префиксов IP-адресов?

Рекомендуется агрегировать префиксы перед рекламой через ExpressRoute или VPN-шлюз. Кроме того, можно использовать Route-Maps для суммирование маршрутов, объявленных из и в Виртуальная глобальная сеть.

Следующие шаги

Подробнее о службе "Виртуальная глобальная сеть" см. в статье Сведения о Виртуальной глобальной сети Azure.